目次:
ビデオ: 河童äºKoji - ãããã¹ããã¦ã¹ (十一月 2024)
これまでに、このコラムからネットワークセキュリティの機能やネットワーク監視のベストプラクティスの議論に至るまで、ネットワークセグメンテーションへの参照を見てきました。 しかし、多くのITプロフェッショナルにとって、ネットワークセグメンテーションは、いつかすぐに利用することを常に計画しているものの1つですが、何かが常に邪魔になります。 2月に税金をやるのと同じように、あなたはそうすべきだと知っていますが、モチベーションを高める必要があります。 それが私がこの5段階の説明者でやりたいことです。
ネットワークセグメンテーションにはいくつかの理由があります。 最も重要な理由はセキュリティです。 ネットワークがいくつかの小さなネットワークに分割され、それぞれが独自のルーターまたはレイヤー3スイッチを備えている場合、ネットワークの特定の部分へのエントリを制限できます。 この方法では、アクセスはそれを必要とするエンドポイントにのみ許可されます。 これにより、アクセスしたくないネットワークの一部への不正アクセスを防ぎ、1つのセグメントに侵入したハッカーがすべてにアクセスすることを制限します。
これが2013年の標的侵害で発生したことです。暖房、換気、および空調(HVAC)の請負業者からの資格情報を使用する攻撃者は、POS(point-of-sale)端末、クレジットカードデータベース、および通信網。 明らかに、HVAC請負業者がHVACコントローラー以外にアクセスする理由はありませんでしたが、ターゲットにはセグメント化されたネットワークがなかったため、HVACコントローラーにアクセスできました。
しかし、ターゲットとは異なり、ネットワークをセグメント化するのに時間がかかる場合、それらの侵入者はあなたの暖房および空調コントローラーを見ることができますが、それ以外は何も見ることができません。 多くの違反は非イベントである可能性があります。 同様に、倉庫のスタッフは会計データベースにアクセスできず、HVACコントローラーにもアクセスできませんが、会計スタッフはデータベースにアクセスできます。 その間、従業員は電子メールサーバーにアクセスできますが、ネットワーク上のデバイスにはアクセスできません。
必要な機能を決定する
これはすべて、ネットワーク上で通信する必要がある機能を決定する必要があり、どのような種類のセグメンテーションが必要かを決定する必要があることを意味します。 「機能の決定」とは、特定のコンピューティングリソースにアクセスする必要があるスタッフと、持たないスタッフを確認する必要があることを意味します。 これは計画を立てるのが面倒な場合がありますが、それが完了すると、役職または仕事の割り当てごとに機能を割り当てることができ、将来的に追加のメリットをもたらすことができます。
セグメンテーションのタイプに関しては、物理セグメンテーションまたは論理セグメンテーションを使用できます。 物理的なセグメンテーションとは、1つの物理領域内のすべてのネットワーク資産がファイアウォールの背後にあり、どのトラフィックが着信し、どのトラフィックが発信できるかを定義することを意味します。 したがって、10階に専用のルーターがある場合は、そこにいる全員を物理的にセグメント化できます。
論理セグメンテーションでは、仮想LAN(VLAN)またはネットワークアドレスを使用してセグメンテーションを実行します。 論理セグメンテーションは、VLANまたは特定のサブネットに基づいてネットワーク関係を定義できますが、両方を使用することもできます。 たとえば、特定のサブネット上にモノのインターネット(IoT)デバイスが必要な場合、メインデータネットワークはサブネットの1つのセットであり、HVACコントローラー、さらにはプリンターも他のサブネットを占有できます。 面倒なことは、印刷する必要がある人がアクセスできるように、プリンターへのアクセスを定義する必要があるということです。
より動的な環境は、スケジューリングソフトウェアまたはオーケストレーションソフトウェアを使用する必要のある、さらに複雑なトラフィック割り当てプロセスを意味しますが、これらの問題は大規模なネットワークでのみ発生する傾向があります。
さまざまな機能、説明
このパートでは、仕事関数をネットワークセグメントにマッピングします。 たとえば、典型的なビジネスには、会計、人事(HR)、生産、倉庫、管理、およびプリンターや最近のコーヒーメーカーなどのネットワーク上の接続デバイスのスマターリングがあります。 これらの各機能には独自のネットワークセグメントがあり、それらのセグメントのエンドポイントは、機能領域内のデータやその他の資産に到達できます。 ただし、電子メールやインターネットなどの他の領域へのアクセスも必要になる場合があります。また、アナウンスや空白のフォームなどの一般的な人事領域へのアクセスも必要になる場合があります。
次のステップでは、どの機能がそれらの領域に到達しないようにする必要があるかを確認します。 良い例は、それぞれのサーバーまたはコントローラーと通信するだけで、電子メール、インターネットブラウジング、または人事データを必要としないIoTデバイスです。 倉庫のスタッフには在庫へのアクセスが必要になりますが、たとえば会計へのアクセスは必要ありません。 最初にこれらの関係を定義して、セグメンテーションを開始する必要があります。
ネットワークセグメンテーションの5つの基本手順
ネットワーク上の各資産を特定のグループに割り当て、会計スタッフがグループに、倉庫スタッフが別のグループに、マネージャーがさらに別のグループに属するようにします。
セグメンテーションの処理方法を決定します。 物理的なセグメンテーションは、環境で許可されていれば簡単ですが、制限があります。 論理的なセグメンテーションは、ほとんどの組織にとっておそらく理にかなっていますが、ネットワークについてさらに理解する必要があります。
どの資産が他のどの資産と通信する必要があるかを判断し、ファイアウォールまたはネットワークデバイスを設定して、これを許可し、他のすべてへのアクセスを拒否します。
侵入検知とマルウェア対策サービスを設定して、両方がすべてのネットワークセグメントを表示できるようにします。 侵入の試みを報告するようにファイアウォールまたはスイッチをセットアップします。
ネットワークセグメントへのアクセスは、承認されたユーザーに対して透過的である必要があり、承認されていないユーザーに対してセグメントの可視性がないことを忘れないでください。 これを試すことでテストできます。
- あなたのスモールビジネスが今取るべき10のサイバーセキュリティステップあなたのスモールビジネスが今取るべき10のサイバーセキュリティステップ
- 境界を超えて:階層型セキュリティに対処する方法境界を超えて:階層型セキュリティに対処する方法
ネットワークセグメンテーションは、最小のオフィスを除き、実際にはDIY(Do-It-Yourself)プロジェクトではないことに注意してください。 しかし、読んでおくと、正しい質問をする準備ができます。 米国サイバー緊急事態対応チームまたはUS-CERT(米国国土安全保障省の一部)は、IoTとプロセス制御を目的としたガイダンスですが、開始するのに適した場所です。 シスコには、ベンダー固有ではないデータ保護のセグメンテーションに関する詳細なペーパーがあります。
有用な情報を提供するベンダーがいくつかあります。 ただし、製品のテストは行っていないため、それらが有用かどうかはわかりません。 この情報には、Sage Data Securityのハウツーヒント、AlgoSecのベストプラクティスビデオ、およびネットワークスケジューリングソフトウェアプロバイダーHashiCorpの動的なセグメンテーションのディスカッションが含まれます。 最後に、もしあなたが冒険好きなら、セキュリティコンサルタントBishop FoxがネットワークセグメンテーションDIYガイドを提供します。
セキュリティを超えるセグメンテーションのその他の利点に関しては、セグメント上のネットワークトラフィックが他のトラフィックと競合する必要がないため、セグメント化されたネットワークのパフォーマンスが向上する可能性があります。 これは、エンジニアリングスタッフが図面がバックアップによって遅延することを発見しないことを意味し、開発者は他のネットワークトラフィックによるパフォーマンスへの影響を心配することなくテストを行うことができます。 しかし、何かをする前に、計画を立てる必要があります。
